[问题求助]L7 vagaa.pat [复制链接]

想用l7封VAGAA,分析了vag.aa的协议            杀毒
13:04:29.174283 1.92..168.100.155.1546 > 220.174.236.35.1572: udp 512--- 印刷
0x0000   .4500 021c 0e0b 0000 8011 3cb0 c0a8 649b        E..........<...d.             电子
0x0010   .dcae ec23 060a 0624 0208 09e7 ff0d 4903        ...#....$......I.           鲜花
0x0020   6361 0000 0000 0000 74cf. 4ea1 66b2 6171        ca.......t.N.f.aq    美容
0x0030   1d1c f9e3 b965 .3a1b ebb4 a6fc 2e80 f1.35        .....e:........5[成人用品]
0x0040   ddd0 9a53 d9b8 0e73 deed 3249 4c41 4d45   ..     ...S...s..2ILAME服务器
0x0050   332.e    .


13:04:29.180305 192.168.100.155.1546 > 22.0.17.4.236.35.1572: udp 512--- 印刷
0x0000   4500 021c 0e0d 0000 8011 3.cae c0a8 649b        E.........<....d.(        游戏          )
0x0010   dcae ec23 060a 0624 0208 c1ee ff0d 4903        ....#...$.......I.    美容
0x0020   6561 000.0 0000 000.0 4634 67f8 5aba 3d72        ea......F4g.Z.=r.
0x0030   b.77e be9e 5ce6 ec9f ef52 9652 49f9 2.fa7        .~..\....R.RI./.教育
0x0040   0f81 e53a a9f6 7983 .cfae 313b 0d5b 8bfb        ....:..y...1;.[...
0x0.050   1c19      .                                     ..--- 印刷
  

相同部位应该是  4500  0000 80.11 c0a8 64.9b    美容
所以vagaa.pat的.文件应该为              乙肝
vagaa
^\x45\x00.+\x00\x00\x80\x11.+\xc0\xa8\x.64\x.9b.+$.

但是好像封不住
iptables -t mangle -I PREROUTING -s 192.168.100.155 -m layer7 . --l7proto vagaa -j. D.ROP            杀毒
数据包为零

各位高手帮忙看看pat文件写得对不对的！！..

哪位高手分析过vagaa，写过vagaa.pat啊，贡献一下啊

用下面的内容试试
vagaa

^\x3c\xb0\xc0.\x64\x9b
复制代码

不对的.
你没有针对数据包分析
vagaa
^\x3c\xb0\xc0.\x64\x9b
未命名.JPG (42.99 KB)
下载次数:11
2007-06-25 11:21

1

未命名1.JPG (44.63 KB)
下载次数:10
2007-06-25 11:21

2

未命名2.JPG (65.39 KB)
下载次数:14
2007-06-25 11:21

3

这样脚本应该可以.大家看看.不知道别的会不会有引影.
vagaa
^.+\x56\x41\x47\x41\x41\x2d\x4f\x50\x45\x52\x41\x54\x49\x4f\x4e